Sårbarhed med scripting på tværs af websites i Origin-klienten

Alvorlighed: Vigtig

CVSS-score: 8.2

Effekt: Manipulation

Status: Rettet

Berørt software: Origin til Mac og pc version 10.5.86 (eller ældre)

CVE-id: CVE-2020-15914

Beskrivelse

Der findes en sårbarhed med scripting på tværs af websites (XSS) i Origin-klienten, der kan gøre det muligt for en hacker at eksekvere vilkårlig JavaScript i en målbrugers Origin-klient. En hacker kunne udnytte denne sårbarhed til at få adgang til følsomme data med relation til målbrugerens Origin-konto eller til at styre eller overvåge tekstchatvinduet i Origin.

Angrebsscenarie

For at kunne udnytte sårbarheden skal hackeren logge ind på Origin-klienten med en gyldig Origin-konto og bruge Origins tekstchatfunktion til at sende en særligt udformet tekstchatbesked til det berørte system. Beskeden indeholder JavaScript-data, der bliver eksekveret i Origin-klienten, næste gang klienten starter op.

1. Hvis beskeden leveres, og systemet ikke kører Origin-klienten på det pågældende tidspunkt, eksekveres dataene næste gang, brugeren åbner Origin-klienten.
2. Hvis brugeren allerede kører Origin-klienten, når beskeden leveres, eksekveres dataene ikke med det samme. Hackeren skal vente på, at brugeren genstarter Origin-klienten, eller på anden måde overtale brugeren til at genstarte sin Origin-klient.

Afhjælpning

Afhjælpning beskriver faktorer, der begrænser sandsynligheden for eller effekten af, at det lykkes en hacker at udnytte sårbarheden.

• De data, som hackeren sender til det berørte system, bliver kun eksekveret, når Origin starter i målbrugerens system. Hvis Origin allerede kører i målsystemet, skal hackeren overtale brugeren til at genstarte sin Origin-klient eller vente på, at brugeren genstarter sin Origin-klient.
• En hacker kan kun sende tekstchatbeskeder til en bestemt bruger, hvis brugeren er på hackerens venneliste. For at angribe en vilkårlig Origin-bruger, der ikke er på hackerens venneliste, skal hackeren først overbevise brugeren om at acceptere en Origin-venneanmodning.

Midlertidige løsninger

Midlertidige løsninger er foranstaltninger, som EA-kunder kan træffe for at mindske risikoen for, at en hacker udnytter sårbarheden, hvis kunden ikke kan eller vælger ikke at installere opdateringen.

• Der er ingen midlertidige løsninger på denne sårbarhed. For at løse problemet med sårbarheden skal spillerne følge den vejledning, der er beskrevet i afsnittet Løsning i denne bulletin.

Løsning

Det anbefales, at spillere med administratorrettigheder installerer den seneste version af Origin-klienten version 10.5.87 for at fjerne sårbarheden.

Næste gang spilleren logger ind, bliver vedkommende bedt om at opdatere, inden han eller hun angiver sine loginoplysninger. Hvis spilleren allerede er logget ind, skal vedkommende genstarte Origin for at få opdateringen.

Ofte stillede spørgsmål

Hvordan afgøres det, hvor alvorligt problemet er?

Problemets alvorlighed er baseret på en 4-pointskala, der spænder fra kritisk til lav. I forbindelse med vores undersøgelse fastslår sikkerhedsteknikerne, hvor let det generelt ville være at udnytte sårbarheden, og hvad en hacker skulle gøre for at udnytte den. Jo færre barrierer der er mod udnyttelse af sårbarheden, og jo større indvirkning den har på sikkerheden, desto højere alvorsklassificering vil problemet typisk få. Du kan finde flere oplysninger om, hvordan vi klassificerer alvorligheden og effekten på sikkerheden, her.

Hvad er årsagen til sårbarheden?

Sårbarheden skyldes den metode, som Origin-klientens webbrowser bruger til at gengive tekstchatbeskeder. Dette giver en hacker mulighed for at levere vilkårlig JavaScript, som vil blive eksekveret i en målbrugers Origin-klient med autoritet fra domænet www.origin.com.

Kan denne sårbarhed bruges til at få adgang til eller stjæle en spillers Origin-konto?

Denne sårbarhed kan ikke bruges til at få adgang til eller stjæle en spillers Origin-konto eller få adgang til spillerens godkendte session i Origin-klienten.

Hvilke følsomme data er tilgængelige med denne sårbarhed?

Denne sårbarhed kan bruges til at få adgang til indholdet af spillerens chatbeskeder, spillerens venneliste, spillerens bedrifter, spillerens liste over ejede spil samt spillerens ønskeliste.

Hvordan kan jeg vide, om jeg er sårbar?

Systemet er sårbart over for dette problem, hvis version 10.5.86 eller ældre versioner af Origin-klienten er installeret.

Hvordan løser opdateringen sårbarhedsproblemet?

Opdateringen implementerer omstrukturering og validering på klientsiden og serversiden af det indhold, der sendes og modtages i tekstchatbeskeder.

Er denne sårbarhed blevet brugt mod EA's kunder?

Nej. På tidspunktet for offentliggørelsen af denne bulletin er vi ikke bekendt med nogen angreb mod EA's spillere, der udnytter denne sårbarhed.

Anerkendelser

EA takker den følgende sikkerhedsekspert for at have fundet og rapporteret sårbarheden til os i overensstemmelse med praksis for koordineret offentliggørelse af sårbarheder:

• Ahmed El-Monairy

Udgivelsesdato: 29. oktober 2020

Version: 1.0